文章总结： 本文分析Apifox供应链投毒事件,攻击者通过篡改Apifox事件脚本植入多阶段恶意代码,利用RSA和AES-256-GCM加密窃取SSH密钥,Git凭据,Shell历史等敏感数据并回传至apifox.it.com.文章详细剖析了混淆加载器,解密流程,第二阶段窃密行为,并提供了完整的网络与主机IOC指标及七项应急处置建议,包括域名封禁,终端排查,凭据轮换和日志回溯等可操作措施. 综合评分： 96 文章分类： 供应链安全,恶意软件,应急响应,威胁情报,漏洞分析

Apifox 投毒事件分析-2

黑屋包网 黑屋包网

漕河泾小黑屋

2026年3月25日 15:05 上海

| | | | — | — | | 核心域名 | apifox.it.com |

结论摘要：当前证据表明，攻击者通过被投毒的 Apifox 事件脚本植入一段 Node/Electron 环境下执行的加载器。该加载器会构造带主机/用户标识的请求头访问https://apifox.it.com/public/apifox-event.js ，服务端返回 RSA 加密内容；本地使用内嵌私钥解密后，得到一个调度器脚本，再按随机文件名加载第二阶段 payload（例如 2da86746.js ）。第二阶段样本具备从 ~/.ssh、Shell 历史、.git-credentials、进程清单以及补充情报中提及的 apifox/cache/cache_data 打包收集数据并回传的能力，符合高危供应链投毒与窃密木马特征。

本文中的 js我都重命名过，可以忽略

不接受吐槽ai味道很重了。

详情分析也可以参考P牛的

https://gist.github.com/phith0n/7020c55bf241b2f3ccf5254192bd48a5

1.事件概览

外部情报与样本比对显示，官方正常文件为https://cdn.apifox.com/www/assets/js/apifox-app-event-tracking.min.js，正常样本 MD5 为a709773362581f4db2f2328e05214e2；异常样本为归档环境中保留的被投毒版本，MD5 为 1a68b09956e47c5617f87dc71c895131，对应当前分析文件 mani.js。该异常样本在原始埋点脚本后追加了一段混淆加载器代码。

加载器核心行为包括：读取本地环境信息、拼装请求头、访问 apifox.it.com 下的二阶段分发接口、使用内嵌 RSA 私钥解密服务端返回的密文、再按随机文件名拉取最终 payload。第二阶段样本2da86746.js 则负责本机敏感信息收集、压缩与对外回传。

2.样本与证据清单 （证据对象我重命名了忽略）

| | | | | | — | — | — | — | | 证据对象 | 说明 | MD5 | SHA-256 | | mani.js | /下一步 | | | | 阶段 0 | 被投毒的 apifox-app-event-tracking.min.js | 正常埋点代码后追加混淆加载器，隐藏远程地址、缓存键名、加密材料。 | 执行一阶段 loader | | 阶段 1 | mani.js  loader | 采集主机/用户标识，构造 af_uuid、af_os、af_name、af_apifox_user  等请求头，访问 /public/apifox-event.js。 | 得到 RSA 密文响应 | | 阶段 2 | 本地解密 | 使用内嵌私钥与 RSA_BLOCK_SIZE=256 分块逻辑解密服务端响应。 | 得到调度器/重定向器脚本 | | 阶段 3 | 调度器 | 动态创建